我是偏执狂,还是公司防火墙在审查整个国家?
Tyl*_*den 22 networking security firewall
最近,在过去一年左右的时间里,我注意到访问某些类型的网站似乎越来越困难,尤其是那些在伊朗或俄罗斯等非受惠国的网站。
例如,刚才我试图访问俄罗斯国防部的网站(http://eng.mil.ru/en/index.htm),该网站我有正当的商业相关理由访问,并且它超时了。我通过欧洲代理尝试了同一个站点,连接没有问题。然后我尝试了一个 tracert,结果如下:
我对此的解释是该 IP 被公司防火墙阻止。我问我们的 IT 部门网络的 IP 阻止策略是什么,并被告知该策略不是由我们公司决定的,而是由防火墙服务提供商决定的,并且它对提供商来说是“秘密和专有的”,他们(意思是IT)无法控制该政策。
这里有什么故事?防火墙产品供应商只是全面封锁整个国家吗?
只是为了笑,我决定尝试不同的国家,看看会发生什么:
Finland ok
Poland ok
Russia blocked
Ukraine blocked
Estonia blocked
Turkey blocked
Saudi Arabia blocked
Afghanistan ok
Iraq blocked
Georgia ok
Armenia blocked
Uzbekistan ok
好的,所以我可以访问乌兹别克斯坦和格鲁吉亚的网站,但不能访问亚美尼亚或乌克兰的网站?谁在编造这个逻辑?
Cha*_*rge 17
我见过许多供应商根据原产国进行内容过滤。中国和俄罗斯通常默认启用过滤,或者至少设置了某种警报。这是因为这些通常是恶意软件攻击的来源。我不会购买您的 IT 部门无法控制的产品线。任何称职的供应商都会让您修改其产品的默认设置。
这可能不是在 IDS/IPS 级别完成的,而是在防火墙级别(通过 IP 列表阻止,有点不太有效)或使用称为选择性黑洞的方法(非常有效并阻止路由)的路由级别甚至通过您的路由器)。
这背后的基本原理尚不清楚 - 可能是因为您列出的国家/地区通常是攻击的来源,尽管实际上并不比美国多,而且在这种情况下,坚定的攻击者会继续前进并绕过……如果您是在一个足够大的组织中工作 -他们是偏执的- 不知何故他们自己对来自那里的 IP 的威胁。无论哪种方式,对于许多意图和目的而言,这都是一种权宜之计的安全措施,您无需担心自己。隧道或代理出去!
- “可能是因为如果你在一个足够大的组织中工作,以至于他们自己都对源自那里的 IP 的威胁感到偏执。” 或者它可能是货物崇拜的安全。 (4认同)
- 不过,这是一个奇怪的解决方案 - 您基本上是在鼓励某人在防火墙应该执行其工作时绕过防火墙。如果防火墙工作不正常并且无法纠正,听起来是时候放弃它了。 (3认同)
完全可以使用 IP 地理位置来阻止与某些国家/地区关联的 IP 地址范围。关于它的有效性存在很多争论,我当然不建议盲目地将其提供给任何人,但是由企业自行确定它是否与来自特定领域的公司有合法业务,因此阻止与该区域相关的地址范围的风险与不阻止这些地址的风险相比。
虽然地理封锁不会阻止确定的攻击者,但它确实增加了从该位置攻击您的网络的复杂性(请记住,这可能意味着来自该位置的僵尸网络成员),这也可能会减少来自该位置的“背景噪音”的数量。随意的攻击者和脚本小子,更容易看到更坚决的攻击。
此示例来自有关如何设置这些类型的过滤器的Sonicwall 知识库文章。
无论如何,如果您有业务需要连接到被封锁国家/地区的业务,我不建议您按照其他答案中的建议尝试绕过防火墙,而是将其作为管理问题:与您的经理交谈,让他们与 IT 部门经理交谈,并明确表示存在允许此类访问的业务要求。没有办法配置这些类型的块的可能性很小,并且如果发生某种安全事件并且检测到您尝试解决属于公司 IT 策略一部分的块的可能性,您是高度可能要为安全漏洞负责。
| 归档时间: |
|
| 查看次数: |
2617 次 |
| 最近记录: |